QRadar Network Insights コンテンツ拡張

IBM QRadar Network Insights Content Extension は、より多くの QRadar® ルール、レポート、検索、およびカスタム プロパティを管理者に提供します。 このカスタム・ルール・エンジンのコンテンツは、 QRadar Network Insights デプロイメントの分析、アラート、およびレポートの提供に焦点を当てています。

QRadar Network Insights は、ネットワーク通信をリアルタイムで詳細に可視化して、 IBM QRadar SIEM デプロイメントの機能を拡張します。 ネットワーク・アクティビティーとアプリケーション・コンテンツの詳細な分析により、 QRadar Network Insights は、 QRadar Sense Analytics が、他の方法では気付かれない脅威アクティビティーを検出できるようにします。

重要: このコンテンツ拡張でコンテンツ・エラーが発生しないようにするために、関連付けられた DSM を最新の状態に維持してください。 DSMは自動更新の一部として更新される。 自動アップデートが有効になっていない場合は、関連する DSM の最新バージョンを IBM® Fix Central (https://www.ibm.com/support/fixcentral) からダウンロードしてください。

IBM QRadar Network Insights コンテンツ拡張 1.6.0

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.6.0で新しく導入されたルールを示しています。

表 1. IBM QRadar Network Insights コンテンツ拡張 1.6.0 のルール
名前 説明 最低限必要な QRadar バージョン
QNI: 保護状態が適切ではないサービスへのアクセス - BitTorrent ハンドシェーク検証失敗 (BitTorrent Handshake Verification Failure) BitTorrent ネットワーク通信でハンドシェーク検証に失敗したことが検出された場合にトリガーされます。 7.4.0
QNI: 保護状態が適切ではないサービスへのアクセス - 証明書のサブジェクト代替名が DNS ではない (Certificate Has Non-DNS Subject Alternative Name) DNS 項目ではないサブジェクト代替名が設定された X509 証明書が検出された場合にトリガーされます。 この接続は疑わしいものと見なされる場合があります。 7.3.3
QNI: 保護状態が適切ではないサービスへのアクセス - 非推奨の TLS バージョンが使用されている (Deprecated TLS Version in Use) IBM QRadar Network Insights が非推奨の TLS セッションを検出するとトリガーされます。 NIST 資料 800-52、および TLS の実装に関する ACSC の勧告によると、TLS 1.0 および 1.1 は推奨されません。 7.3.3
QNI: 保護状態が適切ではないサービスへのアクセス - Kerberos で非推奨または不明な暗号スイートが使用されている (Kerberos Deprecated or Unknown Cipher Suite in use) 非推奨または不明な暗号スイートが Kerberos 通信に使用されている場合にトリガーされます。 7.4.3
QNI: 保護状態が適切ではないサービスへのアクセス - RDP セッションが暗号化されていない (RDP Session Without Encryption) 暗号化されていない RDP セッションが使用されている場合にトリガーされます。 詳しくは、ACSC の勧告 (https: //www.cyber.gov.au/acsc/view-all-content/publications/using-remote-desktop-clients) を参照してください。 7.3.3
QNI: 保護状態が適切ではないサービスへのアクセス - RDP セッションにRDP 拡張セキュリティーが使用されていない (RDP Session Without Enhanced RDP Security) RDP 暗号化レベルが検出された場合にトリガーされます。これは、RDP 拡張セキュリティーが使用されておらず、接続がセキュアでない可能性があることを意味する場合があります。 RDP 拡張セキュリティーが使用されている場合は、RDP ではなく他のネットワーク・プロトコルがネットワークに表示されます。 例えば、TLS で暗号化された RDP セッションは TLS として表示されます。 7.3.3
QNI: 保護状態が適切ではないサービスへのアクセス - 使用するべき署名アルゴリズムに署名アルゴリズムが一致していない (Signature Algorithm Does Not Match To-Be-Signed Signature Algorithm) 使用するべき署名アルゴリズムに一致していない署名アルゴリズムが設定された X509 証明書が検出された場合にトリガーされます。 この接続は疑わしいものと見なされる場合があります。 7.3.3
QNI: 保護状態が適切ではないサービスへのアクセス - SSL が使用されている (SSL in Use) IBM QRadar Network Insights が SSL セッションを検出するとトリガーされます。 NIST 資料 800-52 によると、SSL はどのバージョンも使用するべきではありません。 代わりに TLS の最新バージョンを使用してください。 7.3.3
QNI: 保護状態が適切ではないサービスへのアクセス - 非推奨の TLS 暗号スイートが使用されている (TLS Unrecommended Cipher Suite in Use) IBM QRadar Network Insights が、NIST 資料 800-52r2で推奨されていない暗号スイートを TLS 1.3 または TLS 1.2 セッションが使用していることを検出した場合にトリガーされます。
注:QNI: TLS 1.3 Recommended Cipher Suites 」リファレンス・セットと「 QNI: TLS 1.2 Recommended Cipher Suites 」リファレンス・セットには、事前にデータが設定されています。 適切な暗号スイートを指定して、これらのリファレンス・セットを調整してください。
7.3.3
QNI: 組み込みスクリプトが検出されました (Embedded Script Detected) ネットワーク上で監視されているファイル内に組み込みスクリプトが検出された場合にトリガーされます。 これには、Office ドキュメント内のマクロや、PDF ファイルに埋め込まれた JavaScript が含まれる場合があります。 7.3.3

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.5.2

IBM QRadar Network Insights コンテンツ拡張 1.5.2 は、 QRadar Network Insights 7.3.3 以降をサポートします。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.2で新しく導入された、または更新されたカスタム機能を示します。

表 2. IBM QRadar Network Insights コンテンツ拡張 1.5.2 のカスタム関数
名前 説明
get_extension (get_extension) 入力されたファイル名からファイル拡張子を抽出します。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.2で更新されたルールを示しています。

表 3. IBM QRadar Network Insights コンテンツ拡張 1.5.2 のルール
名前 説明
QNI : Access to Improperly Secured Service - Weak Public Key Length QRadar Network Insights は、公開鍵のビット・カウントが低い証明書を使用する SSL/TLS セッションを検出しました。 強度の低い公開鍵の証明書 (1024 ビット未満) を提示するサーバーは、セキュリティー・リスクである可能性があります。 NIST の資料 800-57 に従い、2011 年以降の推奨される鍵の最小の長さは、RSA では 2048 ビット、ECDSA では 256 ビットです。
QNI: ファイル拡張子/コンテンツ・タイプの検証 ファイル名からファイル拡張子を抽出し、 QRadar Network Insightsによって決定されたコンテンツ・タイプと比較します。

次に、これらの 2 つの値は、予期されたファイル拡張子/コンテンツ・タイプのペアを保持する「QNI-Extension-ContentType-Pairs」リファレンス・セットと比較されます。

このルールは、ファイル拡張子がその拡張子で通常受け入れられるコンテンツ・タイプと異なる場合、および拡張子が「QNI : File Extension / Content Type Verification Exclusions」リファレンス・セットに含まれていない場合にトリガーされます。

例えば、ファイル拡張子 .txt は通常 application/x-dosexec ではなく text/plain に関連付けられます。

デフォルトでは、このルールはオフェンスを作成しません。 このルールをトリガーしたフローを表示するには、「File Extension / Content Type Mismatches」検索を使用します。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.2で更新されたセットのリファレンス・マップを示します。

表 4. IBM QRadar Network Insights コンテンツ拡張 1.5.2 のセットのリファレンス・マップ
名前 説明
QNI-Extension-ContentType-Pairs ファイル拡張子を、予期されたコンテンツ・タイプにマップします。 このセットのリファレンス・マップには、1234 個のエントリーが取り込まれています。 例えば、.htmltext/html にマップされます。

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.5.1

IBM QRadar Network Insights コンテンツ拡張 1.5.1 は、 QRadar Network Insights 7.3.2 以降をサポートします。

次の表では、 IBM QRadar Network Insightsコンテンツ拡張 1.5.1で更新されたルールを示しています。

表 5. IBM QRadar Network Insights コンテンツ拡張 1.5.1 のルールおよびビルディング・ブロック
名前 説明
QNI: ファイル拡張子/コンテンツ・タイプの検証 ファイル名からファイル拡張子を抽出し、 QRadar Network Insightsによって決定されたコンテンツ・タイプと比較します。 これらの 2 つの値が、ファイル拡張子/コンテンツ・タイプの予期されるペアが入った QNI-Extension-ContentType-Pairs リファレンス・セットと比較されます。

ファイル拡張子がその拡張子で通常受け入れられるコンテンツ・タイプと異なる場合、および拡張子が「QNI : File Extension / Content Type Verification Exclusions」リファレンス・セットに含まれていない場合にトリガーされます。

例えば、ファイル拡張子 .txt は通常 application/x-dosexec ではなく text/plain に関連付けられます。

デフォルトでは、このルールはオフェンスを作成しません。 このルールをトリガーしたフローを表示するには、「File Extension / Content Type Mismatches」検索を使用します。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.1で新しく導入された、または更新されたリファレンス・データを示します。

表 6. IBM QRadar Network Insights コンテンツ拡張 1.5.1 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット QNI: ファイル拡張子/コンテンツ・タイプ検証除外 (QNI: File Extension/Content Type Verification Exclusions) 「QNI : File Extension / Content Type Verification」ルールによって検査から除外されるファイル拡張子が含まれます。 このリファレンス・セットには、4 つの項目が事前に定義されています。
セットのリファレンス・マップ QNI-Extension-ContentType-Pairs ファイル拡張子を、予期されたコンテンツ・タイプにマップします。 このセットのリファレンス・マップには、1227 個の項目が事前に定義されています。 例えば、.htmltext/html にマップされます。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.1で新しく導入された、または更新された保存済み検索を示します。

表 7. IBM QRadar Network Insights コンテンツ拡張 1.5.1 の保存済み検索
名前 説明
ファイル拡張子/コンテンツ・タイプの不一致 「QNI : File Extension / Content Type Verification」ルールをトリガーしたフローを表示します。

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.5.0

IBM QRadar Network Insights コンテンツ拡張 1.5.0 は、 QRadar Network Insights 7.3.2 以降をサポートします。

次の表に、 IBM QRadar Network Insights コンテンツ拡張 1.5.0で削除されたカスタム・プロパティーを示します。

表 8. IBM QRadar Network Insights コンテンツ拡張 1.5.0 で削除されたカスタム・プロパティー
名前 最適化済み キャプチャー・グループ 正規表現
Reject Code はい 1 Reject=([0-9]+)
Recipient User はい 1 <([A-Za-z0-9._+\-]+@[A-Za-z0-9.\-]+)>

isReply カスタム AQL 関数は、 IBM QRadar Network Insights コンテンツ拡張 1.5.0で削除されました。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0のルールおよびビルディング・ブロックを示しています。

表 9. IBM QRadar Network Insights コンテンツ拡張 1.5.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ルール QNI : Access to Improperly Secured Service - Certificate Expired ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。
ルール QNI : Access to Improperly Secured Service - Certificate Invalid ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。
ルール QNI : Access to Improperly Secured Service - Self Signed Certificate ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。
ルール QNI : Access to Improperly Secured Service - Weak Public Key Length ルール応答から UBA エレメントを削除し、応答リミッターを変更し、ディスパッチされたイベントの下位カテゴリーを更新しました。
ルール QNI: Confidential Content Being Transferred to Foreign Geography ルールの応答から UBA エレメントが削除され、応答リミッターが変更されました。
ルール QNI: ファイル拡張子/コンテンツ・タイプの検証 このルールは、ファイル拡張子が、その拡張子で通常受け入れられるコンテンツ・タイプと異なる場合にトリガーされます。
ルール QNI : Observed File Hash Associated with Malware Threat ルールの応答から UBA エレメントが削除され、応答リミッターが変更されました。
ルール QNI: 複数のホストで同じ脅威が検出されました QNI : Observed File Hash Seen Across Multiple Hosts から名前が変更され、ルールの応答から UBA エレメントが削除され、応答リミッターが変更されました。
ルール QNI: 疑わしい Web サイト・アクセス このルールは、X-Force ® によって疑わしいと分類された Web サイトがアクセスされたときにトリガーされます。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0で削除されたルールおよびビルディング・ブロックを示しています。

表 10. IBM QRadar Network Insights コンテンツ拡張 1.5.0 で削除されたルールおよびビルディング・ブロック
タイプ 名前
ビルディング・ブロック BB:CategoryDefinition:電子メール受信拒否
ビルディング・ブロック BB:HostDefinition: Mail Servers
ビルディング・ブロック BB:HostReference: Mail Servers
ビルディング・ブロック BB:PortDefinition: Mail Ports
ルール UBA : QNI - 機密コンテンツの外国地域への転送
ルール UBA : QNI - Potential Spam/Phishing Subject Detected from Multiple Sending Servers
ルール UBA : QNI - Potential Spam/Phishing Attempt Detected on Rejected Email Recipient
ルール UBA : QNI - Observed File Hash Associated with Malware Threat
ルール UBA : QNI - Observed File Hash Seen Across Multiple Hosts
ルール UBA : QNI - Access to Improperly Secured Service - Weak Public Key Length
ルール UBA : QNI - Access to Improperly Secured Service - Certificate Invalid
ルール UBA : QNI - Access to Improperly Secured Service - Certificate Expired
ルール UBA : QNI - Access to Improperly Secured Service - Self Signed Certificate
ルール QNI: 複数の送信サーバーからの潜在的なスパム/フィッシングの件名が検出されました
ルール QNI : Potential Spam/Phishing Attempt Detected on Rejected Email Recipient

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0のレポートを示しています。

表 11. IBM QRadar Network Insights コンテンツ拡張 1.5.0 のレポート
レポート名 検索名と依存関係
コンテンツ・タイプ別のユーザー・ファイル転送 (QNI) コンテナーのサイズ制限を更新しました。
Top Phishing Subjects by Recipient User (QNI) 説明を追加しました。
Top Malware by Asset (QNI) ウィザードに説明とチェック・マークが付いていないレポート即時実行 が追加されました。
Malware Distribution by File (QNI) ウィザードに説明とチェック・マークが付いていないレポート即時実行 が追加されました。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0のリファレンス・データを示しています。

表 12. IBM QRadar Network Insights コンテンツ拡張 1.5.0 のリファレンス・データ
タイプ 名前 説明
セットのリファレンス・マップ QNI-Extension-ContentType-Pairs ファイル拡張子を、予期されたコンテンツ・タイプにマップします。 セットのリファレンス・マップには、1218 の項目が事前に取り込まれています。 (例: .htmlテキスト/htmlにマップされます。)

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.5.0の保存済み検索を示しています。

表 13. IBM QRadar Network Insights コンテンツ拡張 1.5.0 の保存済み検索
名前 説明
File Transfer by Originating User and Content Type デフォルトで共有される検索パラメーターを更新しました (「HTTP Response Code」のチェックが削除されました)。
File Transfer by Source IP and Content Type デフォルトで共有される検索パラメーターを更新しました (「HTTP Response Code」のチェックおよび「Originating User」のチェックが削除されました)。
Malware by Hash and Source Asset 結果の制限の数を更新しました。
Malware Traffic Summary AQL 照会で参照されるルール名が更新されました。
Phishing Subjects by Recipient User 検索がデフォルトで共有されるようになりました。

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.4.0

IBM QRadar Network Insights コンテンツ拡張 1.4.0 は、 QRadar Network Insights 7.3.0 以降をサポートします。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0のカスタム AQL 関数を示しています。

表 14. IBM QRadar Network Insights コンテンツ拡張 1.4.0 のカスタム AQL 関数
名前 説明
isReply ストリングが応答 E メールの標準的な件名である場合、true または false を戻します。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0のルールおよびビルディング・ブロックを示しています。

表 15. IBM QRadar Network Insights コンテンツ拡張 1.4.0 のルールおよびビルディング・ブロック
タイプ 名前 説明
ビルディング・ブロック BB: Category Definition: Countries/Regions with Restricted Access このビルディング・ブロックを編集して、通常は企業へのアクセスが許可されない地理的位置を含めます。 これを構成した後、「Confidential Content Being Transferred to Foreign Geography」ルールを有効にすることができます。
ルール QNI: 海外地域への機密コンテンツの転送 アクセスが制限された国/地域に転送されている機密コンテンツを検出します。
ルール UBA : QNI - 機密コンテンツの外国地域への転送 「QNI: Confidential Content Being Transferred to Foreign Geography」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Potential Spam/Phishing Subject Detected from Multiple Sending Servers 「QNI: Potential Spam/Phishing Subject Detected from Multiple Sending Servers」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Potential Spam/Phishing Attempt Detected on Rejected Email Recipient 「QNI: Potential Spam/Phishing Attempt Detected on Rejected Email Recipient」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Observed File Hash Associated with Malware Threat senseValue が割り当てられた「QNI: Observed File Hash Associated with Malware Threat」ルールに基づいて、User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Observed File Hash Seen Across Multiple Hosts senseValue が割り当てられた「QNI: Observed File Hash Seen Across Multiple Hosts」ルールに基づいて、User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Access to Improperly Secured Service - Weak Public Key Length 「QNI: Access to Improperly Secured Service - Weak Public Key Length」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Access to Improperly Secured Service - Certificate Invalid 「QNI: Access to Improperly Secured Service - Certificate Invalid」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Access to Improperly Secured Service - Certificate Expired 「QNI: Access to Improperly Secured Service - Certificate Expired」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。
ルール UBA : QNI - Access to Improperly Secured Service - Self Signed Certificate 「QNI: Access to Improperly Secured Service - Self Signed Certificate」ルールに基づいて、senseValue が割り当てられた User Behavior Analytics アプリにイベントを送信します。 この senseValue は、User Behavior Analytics アプリがユーザーのリスク・スコアを計算するときに使用されます。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0のレポートを示しています。

表 16. IBM QRadar Network Insights コンテンツ拡張 1.4.0 のレポート
レポート名 検索名と依存関係
コンテンツ・タイプ別のユーザー・ファイル転送 保存済み検索: 「File Transfer by Originating User and Content Type」および「File Transfer by Source IP and Content Type」

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.4.0の保存済み検索を示しています。

表 17. IBM QRadar Network Insights コンテンツ拡張 1.4.0 の保存済み検索
名前 説明
File Transfer by Originating User and Content Type このログおよびネットワーク・アクティビティー検索では、送信元のユーザーおよびコンテンツ・タイプでファイル転送が照合されます。
File Transfer by Source IP and Content Type このログおよびネットワーク・アクティビティー検索では、送信元 IP アドレスおよびコンテンツ・タイプでファイル転送が照合されます。

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.3.0

IBM QRadar Network Insights コンテンツ拡張 1.3.0 では、 QRadar バージョン 7.3.0 以降のサポートが追加されています。 以前のバージョンの QRadar Network Insights コンテンツ拡張のカスタム・プロパティーは、type-length-value (TLV) フィールドになりました。 これらの TLV フィールドに対する変更は、このコンテンツ拡張の更新ではなく、 QRadar の更新によるものです。

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.2.2

IBM QRadar Network Insights コンテンツ拡張 1.2.2 は、既存のカスタム・フロー・プロパティーのデフォルト・カテゴリーを設定することでパフォーマンスを向上させます。 ニーズに合わせてカスタム・プロパティーのカテゴリーを変更できます。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.2.2のカスタム・プロパティーを示しています。

表 18. カスタム・プロパティーのデフォルトのカテゴリー
カスタム・プロパティー デフォルトのカテゴリー
Content Subject
  • 進行中の HTTP (HTTP In Progress)
  • メール
File Hash
  • チャット
  • データ転送
  • 進行中の HTTP (HTTP In Progress)
  • メール
  • Web
ファイル名
  • チャット
  • データ転送
  • 進行中の HTTP (HTTP In Progress)
  • メール
  • Web
Recipient Users
  • チャット
  • 進行中の HTTP (HTTP In Progress)
  • メール
  • リモート・アクセス (Remote Access)
  • VoIP
アクション
  • 進行中の HTTP (HTTP In Progress)
  • 不明
Content_Type
  • チャット
  • データ転送
  • 進行中の HTTP (HTTP In Progress)
  • メール
  • Web
DNS_Query_String
  • データ転送
  • その他 (Misc)
DNS_Response_String
  • データ転送
  • その他 (Misc)
File_Size
  • チャット
  • データ転送
  • 進行中の HTTP (HTTP In Progress)
  • メール
  • Web
HTTP ホスト
  • 進行中の HTTP (HTTP In Progress)
  • Web
HTTP リファラー
  • 進行中の HTTP (HTTP In Progress)
  • Web
HTTP 応答コード
  • 進行中の HTTP (HTTP In Progress)
  • Web
HTTP Server
  • 進行中の HTTP (HTTP In Progress)
  • Web
HTTP User-Agent
  • 進行中の HTTP (HTTP In Progress)
  • Web
HTTP Version
  • 進行中の HTTP (HTTP In Progress)
  • Web
IP_Dest_Reputation
  • 進行中の HTTP (HTTP In Progress)
  • その他 (Misc)
  • Web
Originating_User
  • チャット
  • 進行中の HTTP (HTTP In Progress)
  • メール
  • リモート・アクセス (Remote Access)
  • VoIP
パスワード
  • データ転送
  • メール
Request_URL
  • 進行中の HTTP (HTTP In Progress)
  • Web
SMTP HELO メール
Search_Arguments
  • 進行中の HTTP (HTTP In Progress)
  • Web
Suspect_Content
  • 進行中の HTTP (HTTP In Progress)
  • 内部システム (Inner System)
  • メール
  • その他 (Misc)
  • VoIP
  • Web
Web_Categories
  • 進行中の HTTP (HTTP In Progress)
  • Web

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.2.0

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.2.0のカスタム・プロパティーを示しています。

表 19. IBM QRadar Network Insights コンテンツ拡張 1.2.0 のカスタム・プロパティー
名前 正規表現
File_Size フィールド・タイプを英数字から数字に変更するように「File_Size」カスタム・プロパティーが更新されました。 この更新により、「送信元のペイロード」と「宛先のペイロード」の両方のカスタム・プロパティーの最適化も実行されます。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.2.0のルールを示しています。

表 20. IBM QRadar Network Insights コンテンツ拡張 1.2.0 のルール
タイプ 名前 説明
ルール Potential Spam/Phishing Attempt Detected on Rejected Email Recipient 「検出されたイベントをオフェンスの一部にする」を選択するようにルール・アクションが更新されました。 1.1.0 ではこのチェック・ボックスは選択されていませんでしたが、1.2.0 ではオフェンスが作成されるようにこれを修正しています。
ルール Access to Improperly Secured Service - Certificate Invalid 無効な証明書を使用している SSL/TLS セッションを検出します。
ルール Access to Improperly Secured Service - Weak Public Key Length 弱い公開鍵の長さを使用している SSL/TLS セッションを検出します。
ルール Access to Improperly Secured Service - Certificate Expired 有効期限が切れた証明書を使用している SSL/TLS セッションを検出します。
ルール Access to Improperly Secured Service - Self Signed Certificate 自己署名証明書を使用している SSL/TLS セッションを検出します。

( 上に戻る )

IBM QRadar Network Insights コンテンツ拡張 1.1.0

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のカスタム・プロパティーを示しています。

表 21. IBM QRadar Network Insights コンテンツ拡張 1.2.0 のカスタム・プロパティー
名前 正規表現
Content Subject IBM&#xa5;(SUBJECT&#xa5;)=([^;]+);
File Hash IBM\(HTTP_FILES_CKSUM\)=0x([^;]+);
ファイル名 IBM&#xa5;(CONTENT_FILE_NAME&#xa5;)=([^;]+);
拒否コード (Reject_Code) Microsoft Exchange、 Linux® OS、Solaris OS、および Barracuda Spam and Virus Firewall 用の複数の正規表現。
受信者ユーザー Microsoft Exchange、Linux OS、Solaris OS、および Barracuda Spam and Virus Firewall 用の複数の正規表現。
Recipient Users IBM&#xa5;(DEST_USER_LIST&#xa5;)=&#xa5;(([^)]+)&#xa5;);
アクション IBM&#xa5;(APP_ACTION&#xa5;)=([^;]+);
Content_Type IBM&#xa5;(HTTP_CONT_TYPE&#xa5;)=([^;]+);
DNS_Query_String IBM&#xa5;(DNS_QUERY_SDATA&#xa5;)=&#xa5;(([^)]+)&#xa5;);
DNS_Response_String IBM&#xa5;(DNS_RESP_SDATA&#xa5;)=&#xa5;(([^)]+)&#xa5;);
File_Size IBM&#xa5;(HTTP_FILES_SIZE&#xa5;)=([^;]+);
HTTP ホスト IBM&#xa5;(HTTP_HOST&#xa5;)=([^;]+);
HTTP リファラー IBM&#xa5;(HTTP_REFER&#xa5;)=([^;]+);
HTTP 応答コード IBM&#xa5;(HTTP_RETURN_CODE&#xa5;)=([^;]+);
HTTP Server IBM&#xa5;(HTTP_SRV&#xa5;)=([^;]+);
HTTP User-Agent IBM&#xa5;(HTTP_UA&#xa5;)=([A-Za-z0-9&#xa5;s&#xa5;-_.,:;()/&#xa5;&#xa5;]+);
HTTP Version IBM&#xa5;(HTTP_VRS&#xa5;)=HTTP/([^;]+);
IP_Dest_Reputation IBM&#xa5;(IP_DST_REP&#xa5;)=([^;]+);
Originating_User IBM&#xa5;(ORIG_USER&#xa5;)=([^;]+);
パスワード IBM&#xa5;(ACTPASSWD&#xa5;)=([^;]+);
Request_URL IBM&#xa5;(REQ_URL&#xa5;)=([^;]+);
SMTP HELO IBM&#xa5;(SMTPHELO&#xa5;)=([^;]+);
Search_Arguments IBM&#xa5;(HTTP_SEARCH_ARGS&#xa5;)=([^;]+);
Suspect_Content IBM&#xa5;(SUSPECT_CONT_LIST&#xa5;)=&#xa5;(([^)]+)&#xa5;);
Web_Categories IBM&#xa5;(HTTP_CONT_CATEGORY_LIST&#xa5;)=&#xa5;(([^)]+)&#xa5;);

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のルールおよびビルディング・ブロックを示しています。

表 22. IBM QRadar Network Insights コンテンツ拡張 1.1.0 のビルディング・ブロックとルール
タイプ 名前 説明
ビルディング・ブロック BB:HostDefinition: Mail Servers  
ビルディング・ブロック BB:HostReference: Mail Servers  
ビルディング・ブロック BB:PortDefinition: Mail Ports  
ビルディング・ブロック BB:CategoryDefinition:電子メール受信拒否  
ルール Observed File Hash Associated with Malware Threat フロー・コンテンツに含まれているファイル・ハッシュが、Threat Intelligence データ・フィードに含まれている既知の有害なファイル・ハッシュと一致する場合にそれを検出します。 これは、何者かがネットワーク経由でマルウェアを転送したことを示しています。
ルール Observed File Hash Seen Across Multiple Hosts マルウェアに関連付けられているのと同じファイル・ハッシュが複数の宛先に転送されていることを検出します。
ルール Potential Spam/Phishing Attempt Detected on Rejected Email Recipient 存在しない受信者アドレス宛てに送信され、拒否された E メール・イベントがシステム内で発生したことを検出します。これは、スパムまたはフィッシングが試行されたことを示している可能性があります。 組織に関連する QID を含めるように、「BB:CategoryDefinition: Rejected Email Recipient」ビルディング・ブロックを構成します。 モニター用の QID (Microsoft Exchange、 Linux OS (sendmail を実行)、Solaris オペレーティング・システム Sendmail ログおよび Barracuda Spam &amp; Virus Firewall) が取り込まれます。
ルール Potential Spam/Phishing Subject Detected from Multiple Sending Servers 複数の送信サーバーが、一定時間内に同じ件名の E メールを送信したことを検出します。これはスパムまたはフィッシングを示している可能性があります。

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0の保存済み検索を示しています。

表 23. IBM QRadar Network Insights コンテンツ拡張 1.1.0 の保存済み検索
名前 説明
Malware Distribution by File and Hash  
Malware by Hash and Source Asset  
Malware Traffic Summary  
Phishing Subjects by Recipient User  

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のレポートを示しています。

表 24. IBM QRadar Network Insights コンテンツ拡張 1.1.0 のレポート
レポート名 検索名と依存関係
受信者ユーザー別の上位フィッシング・サブジェクト (QNI)-週次  
上位のマルウェア (資産別) (QNI)-日次  
ファイル別マルウェア分布 (QNI)-日次  

次の表では、 IBM QRadar Network Insights コンテンツ拡張 1.1.0のリファレンス・データを示しています。

表 25. IBM QRadar Network Insights コンテンツ拡張 1.1.0 のリファレンス・データ
タイプ 名前 説明
リファレンス・セット Malware Hashes SHA  
リファレンス・セット Malware Hashes MD5  
リファレンス・セット Phishing Subjects  
リファレンス・セット メール・サーバー  

( 上に戻る )